Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę w wysokości 33 tysięcy złotych na działający w Puławach zakład pogrzebowy. W ocenie organu nadzorczego, administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych związanych z obchodzeniem się dokumentami, czego skutkiem było naruszenie ochrony danych osobowych.
RODO a dane osób zmarłych
W motywie 27 RODO jest wyraźnie zaznaczone, że przepisy RODO nie mają zastosowania do danych osób zmarłych. Unijny prawodawca postanowił pozostawić decyzję co do uregulowania tej kwestii ustawodawcom krajowym. Polski ustawodawca nie skorzystał z tej możliwości. Wydawać by się zatem mogło, że trudno znaleźć punkty styku RODO z branżą pogrzebową. Nie jest to jednak słuszny wniosek. W ramach swojej działalności cmentarze i domy pogrzebowe przetwarzają bowiem dane osobowe nie tylko osób zmarłych. Chodzi tu przede wszystkim o dane rodzin zmarłych i innych osób związanych ze zorganizowaniem i opłaceniem pogrzebu. Właśnie za naruszenia w obszarze przetwarzania tych danych ukarany został zakład pogrzebowy w Puławach.
Co się wydarzyło?
Z ustaleń organu nadzorczego wynika, że w listopadzie 2022 roku, na poboczu jednej z dróg niedaleko Puław, lokalna Policja znalazła dziesięć pudeł wypełnionych dokumentami należącymi do domu pogrzebowego. Wśród nich znajdowało się ponad osiemdziesiąt upoważnień zawierających dane osobowe rodzin osób zmarłych. Policja ustaliła, że dokumenty zostały zgubione w czasie transportu. Jeden z pracowników zakładu pogrzebowego, działając z polecenia przedsiębiorcy, przewoził dokumenty samochodem z odkrytą paką. W trakcie transportu, wspomniane pudła spadły z paki i wylądowały na poboczu drogi. Pracownik nie był świadom incydentu, gdyż nie policzył pudeł przed podróżą. Nie zorientował się zatem, że brakuje kilku pudeł. W toku postępowania regulator ustalił dodatkowo, że pracownik przewożący dokumenty nie był upoważniony do dostępu do danych zawartych w zgubionych dokumentach. Co ciekawe, ujawnione nieprawidłowości nie ograniczają się jedynie do kwestii transportu dokumentacji. Organ nadzorczy ustalił, że na co dzień dokumenty były przechowywane w niezamykanym pomieszczeniu pod schodami.
Kluczowa analiza ryzyka
Większość zarzutów Prezesa UODO pod adresem ukaranego administratora, odnosi się do analizy ryzyka, która miała szkieletowy charakter i nie zawierała kluczowych elementów, jak np. oceny prawdopodobieństwa wystąpienia zdarzeń stwarzających ryzyko dla bezpieczeństwa danych. W dokumentacji administratora brakowało również analiz i procedur związanych z zarządzaniem ryzykiem w transporcie dokumentacji papierowej zawierającej dane osobowe. Zdaniem organu nadzorczego, administrator nie był w stanie wykazać, że sprawuje rzeczywisty nadzór nad procesami przetwarzania danych.
Prezes UODO zwrócił uwagę również na kwestię oceny ryzyka. Wskazał, że w dokumentach znajdowały się dane (imię i nazwisku, numer i seria dowodu) pozwalające na jednoznaczną identyfikację osób, których one dotyczą. Ponadto, regulator wskazał, że charakter naruszenia był taki, że z danymi mogła zapoznać się co najmniej jedna nieuprawniona osoba. Prezes UODO stwierdził zatem, że wystąpiło ryzyko naruszenia praw i wolności osób fizycznych i że przedmiotowe naruszenie powinno zostać mu zgłoszone do organu nadzorczego.
